很多地方都有防火墙（firewall），由它们的保护将网路隐藏於世界的其它地方。而有时，防火墙会用所谓的网路地址转换（NAT，Network Address Translation）的方法，将＂internal＂（内部的）IP 地址转换为＂external＂（外部的）［世界上的每个人都知道的］IP address。

你又开始紧张了吗？＂他又要扯到哪里去了？＂

好啦，放轻松，去买瓶汽水［或酒精］饮料，因为身为一个初学者，你还可以不要理会 NAT，因为它所做的事情对你而言是透明的。不过我想在你开始对所见的网路数量开始感到困惑以前，谈谈防火墙身後的网路。

比如，我家有一个防火墙，我有两个 DSL 电信公司分配给我的 static IPv4 地址，而我家的网路有七部电脑要用。这有可能吗？两台电脑不能共用同一个 IP address 阿，不然数据就不知道该送去哪一台电脑了！

答案揭晓：它们不会共用同一个 IP address，它们是在一个配有两千四百万个 IP address 的 private network 上，全部都是我的。

好，都是我的，有这麽多地址可以让大家用来上网，而这里要讲的就是为什麽：

如果我登入到一台远端的电脑，它会说我从 192.0.2.33 登入，这是我的 ISP 提供给我的 public IP。不过若是我问我自己本地端节点的电脑，它的 IP address 是什麽时，他会说是 10.0.0.5。是谁转换 IP 的呢？答对了，就是防火墙！它做了 NAT！

10.x.x.x 是其中一个少数保留的网路，只能用在完全无法连上 Internet 的网路［disconnected network］，或是在防火墙後的网路。你可以使用哪个 private network 编号的细节是记在 RFC 1918 [15]中，不过一般而言，你较常见的是 10.x.x.x 及 192.168.x.x，这里的 x 是指 0-255。较少见的是 172.y.x.x，这里的 y 范围在 16 与 31 之间。

在 NAT 防火墙後的网路可以不必用这些保留的网路，不过它们通常会用。

［真好玩！我的外部 IP 真的不是 192.0.2.33，192.0.2.x 网路保留用来虚构本教程要用的 ＂真实＂IP address，就像本教程也是虚构的一样 Wowzers！］

IPv6 也很合理的会有 private network。它们最早的前缀是 fdxx:［或者未来可能是 fcXX：］，如同 RFC 4193 [16]。NAT 与 IPv6 通常不会混用，然而［除非你在做 IPv6 到 IPv4 的 gateway，这就不在本教程的讨论范围内了］，理论上，你会有很多地址可以使用，所以根本不再需要使用 NAT。不过，如果你想要在不会路由到外面的网路［封闭网路］上分配地址给你自己，就用 NAT 吧。

[15] http://tools.ietf.org/html/rfc1918

[16] http://tools.ietf.org/html/rfc4193